RUS - CERT Computer Emergency Response Team - Zuständig für die Rechner- und Netzwerksicherheit an der Universität Stuttgart
kontakt sitemap impressum e-mail-abo
home
aktuelle_meldungen
rus-cert-advisories
cve
ticker_abo
top_5
rss
betriebssysteme
themen
dienste
projekte
archive
jobs
Universität Stuttgart
Rechenzentrum
 
 
   

RUS-CERT-Meldung

Nr: RUS-CERT-1598

[Generic/Adobe] Schwachstelle in Adobe Acrobat und Adobe Reader (aktualisiert)
(2009-10-09 13:43:09.380577+02) Druckversion

Quelle: http://www.adobe.com/support/security/bulletins/apsb09-15.html

Eine Schwachstelle in den aktuellen Versionen des Adobe Readers sowie Acrobats für Microsoft Windows, Macintosh OS X, GNU/Linux sowie den verschiedenen UNIX-Derivaten kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System auszuführen. Es ist bereits funktionierender Exploitcode, der die Schwachstelle über JavaScript ausnutzt, in Umlauf. Mittlerweile wurden neue Versionen veröffentlicht, die das Problem beheben. (Aktualisiert am 2009-10-13)

Inhalt

Zusammenfassung

  • CVE-2009-3459:
    Betroffen: Adobe Reader 9.1.3 und 8.1.6, Adobe Acrobat 9.1.3 und 8.1.6
    Nicht betroffen: Adobe Reader 9.2 und 8.1.7, Adobe Acrobat 9.2 und 8.1.7
    Plattform: alle (generic)
    Einfallstor: PDF-Datei
    Angriffsvoraussetzung:Benutzerinteraktion
    Angriffsvektorklasse: remote
    Auswirkung: user compromise
    Typ: Speicherverletzung
    Gefahrenpotential: hoch
    Workaround: ja
    Gegenmaßnahmen: neue Version
    Vulnerability ID: CVE-2009-3459

Betroffene Systeme

  • Adobe Reader 9.1.3 und früher
  • Adobe Reader 8.1.6 und früher
  • Adobe Acrobat 9.1.3 und früher
  • Adobe Acrobat 8.1.6 und früher

Nicht betroffene Systeme

  • Adobe Reader 8.1.7
  • Adobe Reader 9.2
  • Adobe Acrobat 8.1.7
  • Adobe Acrobat 9.2

Plattform

  • Microsoft Windows Betriebssysteme
  • Apple Macintosh OS X
  • UNIX-Derivate
  • GNU/Linux

Einfallstor

Angriffsvoraussetzung

  • Benutzerinteraktion - Ein Benutzer eines betroffenen Systems muss eine entsprechende PDF-Datei (Endung üblicherweise: .pdf) öffnen; Diese kann ihm z.B. über eine Webseite oder eine E-Mail-Nachricht zugeleitet werden.
    (user interaction)

Angriffsvektorklasse

  • über eine Netzwerkverbindung
    (remote)

Auswirkung

  • Ausführung beliebigen Programmcodes auf dem beherbergenden System mit den Privilegien des die verwundbare Applikation startenden Benutzers
    (user compromise)

Typ der Verwundbarkeit

  • Speicherverletzung
    (memory corruption)

Gefahrenpotential

  • hoch

(Hinweise zur Einstufung des Gefahrenpotentials.)

Beschreibung

Eine Pufferüberlaufschwachstelle in den aktuellen Versionen des Adobe Reader sowie Adobe Acrobat kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden System ausführen. Der Code wird dabei mit den Privilegien des Benutzers ausgeführt, der die verwundbare Applikation gestartet hat. Sofern der Benutzer administrative Privilegien besitzt, führt die erfolgreiche Ausnutzung dieser Schwachstelle zur Kompromittierung des beherbergenden Systems.

Die Schwachstelle ist nicht auf eine Plattform beschränkt sondern betrifft die Versionen für alle unterstützten Betriebssysteme.

Es ist bereits funktionierender Exploitcode, der die Schwachstelle über JavaScript ausnutzt, in Umlauf. Die Abschaltung von JavaScript schützt zumindest vor diesem speziellen Exploit. Es ist jedoch davon auszugehen, dass die Entwicklung von Exploitcode, der nicht auf JavaScript basiert nicht lange auf sich warten lässt oder bereits abgeschlossen ist.

Adobe stellt die Versionen Adobe Reader 8.1.7 und 9.2 sowie Adobe Acrobat 8.1.7 und 9.2, in denen die beschriebene Schwachstelle behoben wurde.

Workaround

  • Verwendung alternativer Produkte, z.B. xpdf oder KPDF.
  • Abschaltung von JavaScript zum Schutz vor dem im Umlauf beobachteten Exploit
  • Empfehlung von Adobe für Benutzer seiner Produkte unter Microsoft Windows Vista: Aktivierung der Data Execution Prevention (DEP)

Gegenmaßnahmen

  • Installation von Adobe Reader 8.1.7 (siehe APSB09-15)
  • Installation von Adobe Reader 9.2 (siehe APSB09-15)
  • Installation von Adobe Acrobat 8.1.7 (siehe APSB09-15)
  • Installation von Adobe Acrobat 9.2 (siehe APSB09-15)

Vulnerability ID

Exploit Status

  • Funktionierender Exploitcode ist in Umlauf

Revisionen dieser Meldung

  • V 1.0 (2009-10-09)
  • V 1.1 (2009-10-13):
(og)

Weitere Artikel zu diesem Thema:

  • [Generic/Adobe] Acrobat Reader und Acrobat 8.1.7 und 9.2 beheben zahlreiche Schwachstellen (2009-10-13)
    Die neuen Versionen 8.1.7 und 9.2 der PDF-Anzeige und -Verabeitungswerkzeuge Adobe Reader und Acrobat beheben zahlreiche Schwachstellen. Die Schwachstellen erlauben einem Angreifer zum Teil die Ausführung beliebigen Programmcodes auf dem beherbergenden System. Es wird dringend empfohlen, verwundbare Versionen auf die nun bereitgestellten neuen Versionen zu aktualisieren. Alternativ sollte auf andere Programme zur Be- und Verarbeitung von PDF-Dateien umgestiegen werden.

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2010 RUS-CERT, Universität Stuttgart, http://cert.uni-stuttgart.de/

Vorherige Meldung Weitere Meldungen...Nächste Meldung

Bitte lesen Sie auch die Grundsätze, nach denen das RUS-CERT Tickermeldungen veröffentlicht. Der regelmäßige Bezug von Tickermeldungen über E-Mail und RSS-Feed ist ebenfalls möglich.

   
2009-07-03